Secondo i ricercatori di Princeton, cinque dei più noti operatori telefonici statunitensi stanno facendo ben poco per proteggere i propri utenti dal famigerato sim port attack. E gli aggressori, messi nelle condizioni di ottenere facilmente il pieno controllo della linea telefonica delle vittime e di tutti i loro dati personali, non possono che ringraziare
Per condurre lo studio, i ricercatori hanno registrato 50 account su Verizon, AT&T, T-Mobile, US Mobile e Tracfone e hanno trascorso gran parte del 2019 alla ricerca di modi per indurre gli operatori di call center a collegare i loro numeri di telefono a nuove SIM.
E ciò che hanno scoperto è a dir poco allarmante: per ottenere il trasferimento richiesto, bastava rispondere con successo ad alcune domande; le risposte corrette potevano arrivare anche dopo una serie di tentativi falliti, che avrebbero dovuto insospettire almeno un minimo gli operatori.
Dopo aver fornito intenzionalmente PIN errati, ai ricercatori è stato chiesto di verificare altri dettagli, come codici postali o altri dati del titolare. E quando gli studiosi hanno detto agli impiegati del call center che non potevano ricordare quelle informazioni, gli è stato chiesto quali fossero le ultime due chiamate fatte dal loro numero.
L'assenza di un controllo rigoroso da parte degli operatori telefonici è una forte debolezza che apre le porte agli aggressori e addirittura gli stende il tappeto rosso. Con queste premesse, non c'è quindi da stupirsi se i sim port attack sono sempre più frequenti.
» Leggi: Sim port attack: boom di casi nel Nord Italia
Peraltro, i ricercatori hanno scoperto che 17 dei 140 servizi online che utilizzano SMS per l'autenticazione a due fattori non impiegano nessun altro metodo per verificare l'identità degli utenti, rendendo ancora più facile per i truffatori commettere furti di dati sensibili.
Informati di queste gravi falle del sistema, gli operatori telefonici hanno fatto orecchie da mercante, dichiarando di aver ricevuto meno dell'1% delle richieste di scambio di SIM al telefono e dicendo che le loro pratiche di sicurezza informatica vengono aggiornate continuamente.
La conclusione ovvia è di evitare l'uso dell'SMS come forma di autenticazione a due fattori e di utilizzare invece un'app di autenticazione. Per coloro che possiedono uno smartphone Android, Google consente di utilizzare il telefono come chiave di autenticazione fisica a due fattori, che di per sé rappresenta il metodo più sicuro che esista.
